当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0118490

漏洞标题:vivo某接口导致大量用户信息泄露(定位手机、报警、抹除数据、获得手机联系人和短信、查看照片、锁定手机等)

相关厂商:vivo智能手机

漏洞作者: 鸟云厂商

提交时间:2015-06-05 19:36

修复时间:2015-07-23 10:10

公开时间:2015-07-23 10:10

漏洞类型:设计缺陷/逻辑错误

危害等级:中

自评Rank:15

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-06-05: 细节已通知厂商并且等待厂商处理中
2015-06-08: 厂商已经确认,细节仅向厂商公开
2015-06-18: 细节向核心白帽子及相关领域专家公开
2015-06-28: 细节向普通白帽子公开
2015-07-08: 细节向实习白帽子公开
2015-07-23: 细节向公众公开

简要描述:

vivo某接口导致大量用户信息泄露(定位手机、报警、抹除数据、获得手机联系人和短信、查看照片、锁定手机等)

详细说明:

官网登录接口

URL:https://passport.vivo.com.cn/v3/web/login/login
POST:client_id=&redirect_uri=&account=*****&pwd=*****&remember=0


简单撞库之后获取了近200个账号
为了用户信息安全,麻烦审核同学帮我mask一下。。

mask 区域
*****om	ttt*****
*****com 198*****
*****com 362*****
*****com 362*****
*****com 362*****
*****com 125*****
*****com 125*****
*****com 599*****
*****qq.com 1*****
*****q.com *****
*****com lpp*****
*****q.com *****
*****om 12*****
*****q.com *****
*****.com 2*****
*****q.com *****
*****com 10*****
*****q.com *****
*****q.com *****
*****com ain*****
*****com 520*****
*****q.com *****
*****q.com *****
*****com 81*****
*****q.com *****
*****q.com *****
*****q.com *****
*****q.com *****
*****q.com *****
*****com 252*****
*****.com 6*****
*****com 136*****
*****.com 1*****
*****q.com *****
*****.com 7*****
*****com 7*****
*****q.com *****
*****q.com *****
*****com z*****
*****q.com *****
*****04@qq.co*****
*****q.com *****
*****com zhu*****
*****.com *****
*****.com *****
*****com lwh*****
*****q.com *****
*****q.com *****
*****.com *****
*****com 138*****
*****om 764*****
*****.com 8*****
*****q.com *****
*****.com 1*****
*****com 106*****
*****.com *****
*****q.com *****
*****.com 7*****
*****.com 8*****
*****q.com *****
*****q.com *****
*****q.com *****
*****.com 4*****
*****com 12*****
*****q.com *****
*****com wos*****
*****com 158*****
*****com 18*****
*****q.com *****
*****q.com *****
*****q.com *****
*****q.com *****
*****q.com *****
*****com 1361*****
*****.com 1*****
*****com 21*****
*****com 11*****
*****com 138*****
*****q.com *****
*****com 1*****
*****q.com *****
*****.com x*****
*****com 334*****
*****com 138*****
*****com 103*****
*****q.com *****
*****q.com *****
*****com 514*****
*****q.com *****
*****q.com *****
*****.com 1*****
*****q.com *****
*****q.com *****
*****.com 4*****
*****com 756*****
*****q.com *****
*****q.com *****
*****com 330*****
*****com 1*****
*****q.com *****
*****q.com *****
*****com fan*****
*****q.com *****
*****com jie*****
*****om zh19*****
*****q.com *****
*****q.com *****
*****q.com *****
*****com 1*****
*****om 12*****
*****com 623*****
*****om 12*****
*****com 449*****
*****q.com *****
*****q.com *****
*****q.com *****
*****q.com *****
*****om 221*****
*****com 12*****
*****q.com *****
*****q.com *****
*****.com *****
*****q.com 87*****
*****.com 2*****
*****.com 8*****
*****q.com *****
*****q.com *****
*****om 12*****
*****q.com *****
*****q.com *****
*****com yjb*****
*****q.com *****
*****q.com *****
*****com 12*****
*****q.com *****
*****com ww7*****
*****.com 3*****
*****com ziy*****
*****om 12*****
*****com 137*****
*****q.com *****
*****com 12*****
*****.com 8*****
*****q.com *****
*****.com *****
*****com asd*****
*****com 200*****
*****.com w*****
*****q.com *****
*****q.com *****
*****.com 1*****
*****q.com *****
*****q.com *****
*****q.com *****
*****com 12*****
*****q.com *****
*****com 12*****
*****com ni*****
*****q.com *****
*****q.com *****
*****q.com *****
*****q.com *****
*****.com *****
*****.com 8*****
*****q.com *****
*****q.com *****
*****q.com *****
*****com zha*****
*****q.com 2*****

漏洞证明:

抽了俩用户登录并证明(不是所有用户都开启了安全措施)

屏幕快照 2015-06-05 下午6.43.39.png


屏幕快照 2015-06-05 下午6.50.12.png


屏幕快照 2015-06-05 下午6.50.28.png

修复方案:

版权声明:转载请注明来源 鸟云厂商@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:15

确认时间:2015-06-08 10:08

厂商回复:

非常感谢对我们的关注、支持。

最新状态:

暂无